ホームページのセキュリティ対策を強化したいと思ったら読む記事

空き巣（留守を狙って入り込む泥棒）が喜ぶ「未来のお知らせ」に注意

まず初めに、多くの方が自覚のない状態で、空き巣を喜ばせてしまっている問題について書きます。

ホームページやSNSから発信するイベント開催の告知等、「未来のお知らせ」については、その記事を空き巣も読むかもしれないと考えて、何度も読み返してから掲載しましょう。

古い習慣が残っている地方の寄り合いなどでは、地域の活性化に貢献しようと努める活動的な人たちの名前と自宅の住所が、WEBサイトや刊行物にはっきりと掲載されていることがあります。
また、自宅を何かの教室として使用されている方も、住所を公開していることが多くあります。

このように、名前と住所が公開されている人たちが参加するであろうイベント開催の告知を見て、一番喜ぶのは空き巣です。

例えばお知らせが、「登山部からのお知らせ。5月20日に富士山に登ります。参加希望者はA田A子（部長）まで電話かメールをください」というような内容である場合、部長であるA田A子さんは5月20日に長時間、自宅を留守にしている可能性が非常に高いわけです。

空き巣がこのようなお知らせを見た時、掲載されている名前と、予測されるエリアで検索をかけ、WEB上で住所が公開されているか否かを調べます。
住所が判明したら、Googleマップを使って玄関の表札や侵入経路（侵入することの難易度）を確認します。

セキュリティを強化するためのツールの利用を検討する前に、まずは空き巣が喜ぶ情報を自ら発信していないかをチェックしましょう。

不要な情報を扱わずに済ませる工夫が大事

個人情報等の「漏洩すると大変なことになる情報」を扱うのは極力避けましょう。
ページをパスワード保護していたとしても、システムやサーバー等、内部に侵入されてしまえば、すべての情報が簡単に盗み取られてしまいます。
「家に現金を置かない」という有名な防犯対策がありますが、これと同様に「漏洩すると大変なことになる情報は扱わない」ことが大事です。

何もかもを疑う習慣を身につける

レンタルサーバーを契約されている方はご存知だと思いますが、セキュリティ強化系のプラグインでも、年に数回、「脆弱性が発見された」と注意喚起を促すメールがサーバー会社から届くことがあります。
セキュリティ強化系のツールさえも疑う習慣を身につけましょう。

また、悪しきハッカー達は日頃から、「セキュリティ強化系のプラグインを利用しているホームページは、価値のある情報を扱っている可能性が高い」「たくさんの人が利用している有名なシステムやプラグインをハッキングして世間を騒がせたい」「正義の味方のフリをして、セキュリティ強化系のプラグインを無料で配布してみよう」などと考えているわけです。

プラグインはサーバー内にインストールして使用するものですから、本当に信用のできるものだけを利用しましょう（セキュリティ強化系のソフトやプラグインを提供する会社の多くは、強烈な内容のキャッチコピーで不安を煽ってきますが、いつの時も冷静に判断をしましょう）。

自然災害等と同様に、被害に遭うことを前提とした備えが大事

被害を未然に防ぐ対策も重要ですが、防災訓練や避難訓練のように、日頃から被害に遭うことを前提として、「慌てずに行動する」「素早く元の状態に戻す」ための備えや訓練を行うことが大事です。

先日、テレビ埼玉で放送されていた「Koshigaya Collection(こしがやコレクション)」という番組の中で、越谷市の職員さんが、災害対策予防事業について、「大規模な災害が発生したとき、速やかな被災者支援は、被災された方の1日も早い日常を取り戻すために重要となります。（中略）平常時から発災時、応急期、復旧期まで、迅速な支援ができるように取り組んでまいります」と説明をされていました。

この平常時、発災時、応急期、復旧期をホームページのセキュリティ対策に置き換えてみましょう。

平常時

• こまめにバックアップを取り、システムやプラグインは常に最新バージョンに更新されている状態を保つ
• サーバーやシステムへのログイン情報（URL・ID・パスワード）は適切に管理する
• パスワードは記号、英語、数字、大文字、小文字をすべて混ぜた、できるだけ長く（16桁以上）、複雑なのものにして、定期的に変更する

発災時

• 関係者への速やかな連絡（サーバー会社やホームページ管理会社への連絡）
• 被害状況の確認、情報の収集（同じような被害を他のサイトも受けている可能性があるので、エックス等のSNSもチェックする）
• 原因の特定及び対処

侵入を許してしまい、サーバー内に悪意あるファイルを仕込まれてしまった場合、一旦すべてのデータを削除することになります。

応急期

• 簡易版ホームページの公開（メンテナンス中であることをアナウンスするためのページ、または、バックアップデータから脆弱性が発見されたプラグイン等を取り除いた状態のもの）

バックアップを取っていなければ、最悪の場合、一からホームページを作り直すことになります。

復旧期

• 修正を済ませたホームページ完全版の公開
• 再発防止の対策

大手企業の取り組みの例

• ホームページを更新するための管理画面には、特定のIPアドレス、または社内からしかアクセスができないようになっている
• 公開用のサーバーと開発用のサーバーを分けている
• 開発用のサーバーにしかシステムが入っていない
• 無料のワードプレスではなく、ムーバブルタイプ等、HTML形式でファイルを書き出すことのできる有料のシステムを利用している

大手企業の取り組みは、多くの専門家が、多くの時間をかけて検証を繰り返したものですから、参考にさせていただくのがよいでしょう。

最後に

高機能なシステムほど隙が生まれます。
その反対に、余計な機能を排除したシンプルなシステムの隙を見つけ出すのは至難の技です。

そして、多くの人が利用している安価なシステムは、多くのハッカーも利用しています。
その反対に、超大手企業にしか支払えないような高額のシステムは、多くのハッカーも手が出せず、気軽に分析することはできません。

私が過去に携わったことのある超大手企業が利用していたシステムは、超高額、超シンプルなものでした。
ワードプレスやムーバブルタイプ等の高機能なシステムであれば1時間で終わる作業を、20日間かけて行ったことがあります。

便利で安価なものよりも、不便で高価なものが良いとされる世界もあるのです。

出入り口が1つしかない家と、出入り口がいくつもある家、どちらが外敵の侵入を防ぎやすいかは一目瞭然です。
ホームページも同様に、造りがシンプルであればあるほど、守りやすいものとなります。
便利さや快適さを求めるあまり、無駄に出入り口を設けすぎることのないように注意しましょう。

関連コンテンツ

• サーバー保守管理
• 主要なレンタルサーバー（エックスサーバー・さくらのレンタルサーバー・ロリポップ！レンタルサーバー・お名前.com レンタルサーバー）4社の無料SSLの設定方法
• 主要なレンタルサーバー（エックスサーバー・さくらのレンタルサーバー・ロリポップ！レンタルサーバー・お名前.com レンタルサーバー）4社の再販を比較

追伸

もしこの記事が役に立ったときは、埼玉県越谷市に向かって「ナイスだぜ、大橋プランニング。ホームページを新規で制作するとき、リニューアルするときが来たら、お前のことを必ず思い出すぜ」と囁いていただけると幸いです。
ちなみに、今のイチオシは「ワードプレスのホームページ制作」です。
お値引きさせていただきます。